Windows 2003伺服器安全配置終極技巧 圖文教程_win伺服器

網上流傳的很多關於windows server 2003系統的安全配置，但是仔細分析下發現很多都不全面，並且很多仍然配置的不夠合理，並且有很大的安全隱患，今天我決定仔細做下極端BT的2003伺服器的安全配置，讓更多的網管朋友高枕無憂。
我們配置的伺服器需要提供支援的組件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389終端服務、遠端桌面Web串連管理服務等），這裡前提是已經安裝好了系統，IIS，包括FTP伺服器，郵件伺服器等，這些具體配置方法的就不再重複了，現在我們著重主要闡述下關於安全方面的配置。
關於常規的如安全的安裝系統，設定和管理帳戶，關閉多餘的服務，稽核原則，修改終端管理連接埠， 以及配置MS-SQL，刪除危險的預存程序，用最低許可權的public帳戶串連等等，都不說了
先說關於系統的NTFS磁碟使用權限設定，大家可能看得都多了，但是2003伺服器有些細節地方需要注意的，我看很多文章都沒寫完全。
C盤只給administrators 和system許可權，其他的許可權不給，其他的盤也可以這樣設定，這裡給的system許可權也不一定需要給，只是由於某些第三方應用程式是以服務形式啟動的，需要加上這個使用者，否則造成啟動不了。

Windows目錄要加上給users的預設許可權，否則ASP和ASPX等應用程式就無法運行。以前有朋友單獨設定Instsrv和temp等目錄許可權，其實沒有這個必要的。

另外在c:/Documents and Settings/這裡相當重要，後面的目錄裡的許可權根本不會繼承從前的設定，如果僅僅只是設定了C盤給administrators許可權，而在All Users/Application Data目錄下會 出現everyone使用者有完全控制許可權，這樣入侵這可以跳轉到這個目錄，寫入指令碼或只檔案，再結合其他漏洞來提升許可權；譬如利用serv-u的本地溢出提升許可權，或系統遺漏有補丁，資料庫的弱點，甚至社交工程學等等N多方法，從前不是有牛人發颮說："只要給我一個webshell，我就能拿到system"，這也的確是有可能的。在用做web/ftp伺服器的系統裡，建議是將這些目錄都設定的鎖死。其他每個盤的目錄都按照這樣設定，沒個盤都只給adinistrators許可權。

另外，還將：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，這些檔案都設定只允許administrators訪問。
把不必要的服務都禁止掉，儘管這些不一定能被攻擊者利用得上，但是按照安全規則和標準上來說，多餘的東西就沒必要開啟，減少一份隱患。
在"網路連接"裡，把不需要的協議和服務都刪掉，這裡只安裝了基本的Internet協議（TCP/IP），由於要控制頻寬Cellular Data Package，額外安裝了Qos資料包排程器。在進階tcp/ip設定裡--"NetBIOS"設定"禁用tcp/IP上的NetBIOS（S）"。在進階選項裡，使用"Internet串連防火牆"，這是windows 2003 內建的防火牆，在2000系統裡沒有的功能，雖然沒什麼功能，但可以屏蔽連接埠，這樣已經基本達到了一個IPSec的功能。



這裡我們按照所需要的服務開放響應的連接埠。在2003系統裡，不推薦用TCP/IP篩選裡的連接埠過濾功能，譬如在使用FTP伺服器的時候，如果僅僅只開放21連接埠，由於FTP協議的特殊性，在進行FTP傳輸的時候，由於FTP 特有的Port模式和Passive模式，在進行資料轉送的時候，需要動態開啟高連接埠，所以在使用TCP/IP過濾的情況下，經常會出現串連上後無法列出目錄和資料轉送的問題。所以在2003系統上增加的windows串連防火牆能很好的解決這個問題，所以都不推薦使用網卡的TCP/IP過濾功能。  
SERV-U FTP 伺服器的設定：
一般來說，不推薦使用srev-u做ftp伺服器，主要是漏洞出現的太頻繁了，但是也正是因為其操作簡單，功能強大，過於流行，關注的人也多，才被發掘出bug來，換做其他的ftp伺服器軟體也一樣不見得安全到哪兒去。
當然，這裡也有款功能跟serv-u同樣強大，比較安全的ftp軟體：Ability FTP Server
設定也很簡單，不過我們這裡還是要迎合福士胃口，說說關於serv-u的安全設定。
首先，6.0比從前5.x版本的多了個修改本地LocalAdministrtaor的密碼功能，其實在5.x版本裡可以用ultraedit-32等編輯器修改serv-u程式體進行修改密碼連接埠，6.0修補了這個隱患，單獨拿出來方便了大家。不過修改了管理密碼的serv-u是一樣有安全隱患的，兩個月前臭要飯的就寫了新的採用本地sniff方法擷取serv-u的管理密碼的exploit，正在網上火賣著，不過這種sniff的方法，同樣是在獲得webshell的條件後還得有個能在目錄裡有"執行"的許可權，並且需要管理員再次登陸運行serv-u administrator的時候才能成功。所以我們的管理員要盡量避上以上幾點因素，也是可以防護的。  
  
另外serv-u的幾點常規安全需要設定下：
選中"Block "FTP_bounce"attack and FXP"。什麼是FXP呢？通常，當使用FTP協議進行檔案傳輸時，用戶端首先向FTP伺服器發出一個"PORT"命令，該命令中包含此使用者的IP地址和將被用來進行資料轉送的連接埠號碼，伺服器收到後，利用命令所提供的使用者地址資訊建立與使用者的串連。大多數情況下，上述過程不會出現任何問題，但當用戶端是一名惡意使用者時，可能會通過在PORT命令中加入特定的地址資訊，使FTP伺服器與其它非用戶端的機器建立串連。雖然這名惡意使用者可能本身無權直接存取某一特定機器，但是如果FTP伺服器有權訪問該機器的話，那麼惡意使用者就可以通過FTP伺服器作為中介，仍然能夠最終實現與目標伺服器的串連。這就是FXP，也稱跨伺服器攻擊。選中後就可以防止發生此種情況。

另外在"Block anti time-out schemes"也可以選中。其次，在"Advanced"選項卡中，檢查 "Enable security"是否被選中，如果沒有，選擇它們。

IIS的安全：
刪掉c:/inetpub目錄，刪除iis不必要的映射
首先是每一個web網站使用單獨的IIS使用者，譬如這裡，建立立了一個名為www.315safe.com ，許可權為guest的。


在IIS裡的網站屬性裡"目錄安全性"---"身分識別驗證和存取控制"裡設定匿名訪問使用下列Windows 使用者帳戶"的使用者名稱密碼都使用www.315safe.com 這個使用者的資訊.在這個網站相對應的web目錄檔案，預設的只給IIS使用者的讀取和寫入許可權（後面有更BT的設定要介紹）。  

在"應用程式配置"裡，我們給必要的幾種指令碼執行許可權：ASP.ASPX,PHP，
ASP，ASPX預設都提供映射支援了的，對於PHP，需要新添加響應的映射指令碼，然後在web服務擴充將ASP，ASPX都設定為允許，對於php以及CGI的支援，需要建立web服務擴充，在副檔名(X)：下輸入 php ，再在要求的檔案(E)：裡添加地址 C:/php/sapi/php4isapi.dll ，並勾選設定狀態為允許(S)。然後點擊確定，這樣IIS就支援PHP了。支援CGI同樣也是如此。

要支援ASPX，還需要給web根目錄給上users使用者的預設許可權，才能使ASPX能執行。


另外在應用程式配置裡，設定調試為向用戶端發送自訂的文本資訊，這樣能對於有ASP注入漏洞的網站，可以不反饋程式報錯的資訊，能夠避免一定程度的攻擊。

在自訂HTTP錯誤選項裡，有必要定義下譬如404,500等錯誤，不過有有時候為了偵錯工具，好知道程式出錯在什麼地方，建議只設定404就可以了。


IIS6.0由於運行機制的不同，出現了應用程式集區的概念。一般建議10個左右的網站共用一個應用程式集區，應用程式集區對於一般網站可以採用預設設定，

可以在每天淩晨的時候回收一下背景工作處理序。

建立立一個站，採用預設嚮導，在設定中注意以下在應用程式設定裡：執行許可權為預設的純指令碼，應用程式集區使用獨立的名為：315safe的程式池。


名為315safe的應用程式集區可以適當設定下"記憶體回收"：這裡的最大虛擬記憶體為：1000M，最大使用的實體記憶體為256M，這樣的設定幾乎是沒限制這個網站的效能的。

在應用程式集區裡有個"標識"選項，可以選擇應用程式集區的安全性帳戶，預設才用網路服務這個帳戶，大家就不要動它，能盡量以最低許可權去運行大，隱患也就更小些。在一個網站的某些目錄裡，譬如這個"uploadfile"目錄，不需要在裡面運行asp程式或其他指令碼的，就去掉這個目錄的執行指令碼程式許可權，在"應用程式設定"的"執行許可權"這裡，預設的是"純指令碼"，我們改成"無"，這樣就只能使用靜態頁面了。依次類推，大凡是不需要asp啟動並執行目錄，譬如資料庫目錄，圖片目錄等等裡都可以這樣做，這樣主要是能避免在網站應用程式指令碼出現bug的時候，譬如出現從前流行的upfile漏洞，而能夠在一定程度上對漏洞有扼制的作用。

在預設情況下，我們一般給每個網站的web目錄的許可權為IIS使用者的讀取和寫入，如圖：

但是我們現在為了將SQL注入，上傳漏洞全部都趕走，我們可以採取手動的方式進行細節性的原則設定。
1． 給web根目錄的IIS使用者只給讀許可權。如圖：

然後我們對響應的uploadfiles/或其他需要存在上傳檔案的目錄額外給寫的許可權，並且在IIS裡給這個目錄無指令碼運行許可權，這樣即使網站程式出現漏洞，入侵者也無法將asp木馬寫進目錄裡去，呵呵， 不過沒這麼簡單就防止住了攻擊，還有很多工作要完成。如果是MS-SQL資料庫的，就這樣也就OK了，但是Access的資料庫的話，其資料庫所在的目錄，或資料庫檔案也得給寫入權限，然後資料庫檔案沒必要改成.asp的。這樣的後果大家也都知道了把，一旦你的資料庫路徑被暴露了，這個資料庫就是一個大木馬，夠可怕的。其實完全還是規矩點只用mdb尾碼，這個目錄在IIS裡不給執行指令碼許可權。然後在IIS裡加設定一個映射規律，如圖：


這裡用任意一個dll檔案來解析.mdb尾碼名的映射，只要不用asp.dll來解析就可以了，這樣別人即使獲得了資料庫路徑也無法下載。這個方法可以說是防止資料庫被下載的終極解決辦法了。